การเข้ารหัสด้วย ZFS บน linux

13

ZFS บน Linux รองรับการเข้ารหัสอยู่แล้วหรือไม่ ถ้าไม่มันมีการวางแผนหรือไม่?

ฉันพบข้อมูลมากมายสำหรับ ZFS + LUKS แต่นั่นไม่น่าสนใจอย่างแน่นอน: ฉันต้องการการเข้ารหัส ZFS เพื่อให้ฉันสามารถทำการจำลองแบบโดยใช้ zfs ส่งไปยังเซิร์ฟเวอร์สำรองข้อมูล "ที่ไม่น่าเชื่อถือ" เช่น, zfs ส่งชิ้นส่วนควรได้รับการเข้ารหัส

หาก ZoL ไม่รองรับการเข้ารหัสมีวิธีอื่นที่สวยงามกว่าการสร้าง zVols และใช้ LUKS + EXT ที่ด้านบนของมัน (สูญเสียข้อดีของ ZFS ไปมาก)?

zfs encryption zfsonlinux

— divB
แหล่งที่มา

zfs send | gpgทำได้ดี. อย่าทำสิ่งที่ซับซ้อนเกินกว่าที่คุณจะต้องทำ

— Michael Hampton

2

ฉันอาจจะไม่เก็บข้อมูลสำรองไว้ที่นั่น ...

— ewwhite

@MichaelHampton: คุณพูดถูก แต่ในทางกลับกันฉันไม่สามารถรับมันได้ในเป้าหมายการสำรองข้อมูล ความคิดที่จะทำ zfs ส่งและทำงานอย่างสมบูรณ์ด้วย snapshots inkremental จากเซิร์ฟเวอร์สำรองจะเก็บสแน็ปช็อตไปยังตำแหน่งอื่นอีกครั้ง หรือสิ่งนี้ยังทำงานกับ GPG ด้วยหรือไม่ (BTW: ผมถือว่า gpg ท่อไม่สร้างค่าใช้จ่ายมากใช่ไหม?)

— divB

@ ขาวขาว: บางที แต่คุณไม่รู้การตั้งค่าของฉัน ไม่ว่าในกรณีใด: มันเป็นเซิร์ฟเวอร์ของตัวเองพร้อมไดรฟ์ของตัวเอง (เช่นไม่มี WAN / อินเทอร์เน็ต) ฉันยังต้องการให้สิ่งที่จะเข้ารหัสเพราะมันไม่ได้เก็บไว้ในชั้นวางเซิร์ฟเวอร์เช่นเดียวกับเซิร์ฟเวอร์

— divB

9

ยัง.

กำลังดำเนินการอยู่

การสนับสนุน ZFS Crypto ·ปัญหา # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

การเข้ารหัส ZFS โดย tcaputi ·คำขอดึง # 4329 · zfsonlinux / zfs (2016-02-11) - 593 ส่วนในการสนทนา "... ใหญ่เกินไปสำหรับ github ที่จะจัดการได้อย่างมีประสิทธิภาพ ... ย้ายไปยัง PR ใหม่ ... "

การเข้ารหัส ZFS โดย tcaputi ·คำขอดึง # 5769 · zfsonlinux / zfs (2017-02-09)

อ้างอิง

วิธีจัดการการเข้ารหัสข้อมูล ZFS (Darren Moffat, Oracle, 2012-07-23)

ZFS Native Encryption โดย Tom Caputi - YouTube (2016-10-10)

การเข้ารหัสดั้งเดิมที่มากับ OpenZFS! zfs create -o encryption = on ขอบคุณ Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

ทางเลือกในการทำงานที่กำลังดำเนินอยู่

ดังที่คนอื่น ๆ ชี้ให้เห็นคุณมีตัวเลือกของLUKS - การตั้งค่าคีย์รวมของ Linux - บนZFS บน Linux (ZoL)

— steakunderscore
แหล่งที่มา

กำลังดำเนินการแบบขนาน: ข้อมูลดั้งเดิมและการเข้ารหัสข้อมูลเมตาสำหรับ zfs โดย lundman ·คำขอการดึง # 124 · openzfs / openzfs

— Graham Perrin

1

เป็นที่น่าสังเกตว่าการร้องขอการดึงของ Tom Caputi ที่เชื่อมโยง # 5769 ด้านบนนั้นถูกรวมเข้ากับปริญญาโทเมื่อปีที่แล้ว แต่ไม่คาดว่าจะเปิดตัวจนถึง 0.8.0 (แม้ว่าข้อเท็จจริงที่ว่ามีการเผยแพร่ 0.7.x หลายครั้งนับเป็นการผสาน รวมถึงแพทช์เชอร์รี่ที่ได้รับการพิจารณาว่ามีความสำคัญและมีเสถียรภาพและการเข้ารหัสถือเป็นสิ่งที่สำคัญเกินกว่าที่จะรวมไว้ในที่เดียว)

— Jules

7

โดยทั่วไปแล้วสำหรับผู้ที่ใช้ ZoL ที่ต้องการการเข้ารหัส Encryptfs ไม่ต้องการเพราะคุณสูญเสียทั้งประสิทธิภาพและ fuctionality

ZFS ทำงานได้ดีที่สุดเมื่อมันเป็นระบบไฟล์ไม่ใช่เมื่อคุณเลเยอร์คนอื่นไว้ด้านบน (อีกครั้งคุณทำได้แต่เป็นสิ่งที่ไม่ดี) นี่คือสิ่งที่ encryptfs ทำ (เลเยอร์ระบบไฟล์ที่เข้ารหัสด้านบนของ ZFS) และทำไมคุณเห็นมากเกี่ยวกับ LUKS (ซึ่งทำงานในลักษณะอื่น ๆ - สามารถกำหนดค่า ZFS ที่ด้านบนของคอนเทนเนอร์เข้ารหัสซึ่งจัดการโดยเคอร์เนล - มีประสิทธิภาพมากสำหรับสิ่งที่มันทำและคุณจะไม่สูญเสียคุณสมบัติ ZFS

ตามที่คนอื่นได้สังเกตเห็น ZoL ไม่ได้รวมการเข้ารหัสระบบไฟล์ดั้งเดิมเช่นในการติดตั้ง Oracle ในขณะนี้ คุณต้องเลเยอร์การเข้ารหัสของคุณด้านบน (encryptfs) หรือต่ำกว่า (LUKS) เวทมนตร์ ZFS

— Chris Tonkinson
แหล่งที่มา

5

ไม่ ZFS บน Linux ไม่รองรับการเข้ารหัสดั้งเดิม อีกทางเลือกหนึ่งคือเข้ารหัสไฟล์แต่ที่จุดเชื่อมต่อนี้คุณจะไม่พบวิธีแก้ปัญหาแบบเนทีฟ

— ewwhite
แหล่งที่มา

โพสต์ระบุเหตุผลที่ว่า Oracle ไม่ได้ปล่อยแหล่งที่มา แต่ FreeBSD ไม่รองรับการเข้ารหัสหรือไม่ จากนั้นผมสงสัยว่าทำไม WoL ไม่ได้ ... ในกรณีใด ๆ ขอบคุณสำหรับ ecryptfs ตัวชี้ผมจะคิดเกี่ยวกับมัน ...

— divB

ตกลงฉันเห็นว่า ecryptfs ไม่รองรับ ACLs อย่างน่าเสียดาย ดังนั้นจึงไม่มีตัวเลือก :-(

— divB

1

ฉันคิดว่าฉันเห็นบางอย่างเกี่ยวกับการสนับสนุน ZFS ที่เข้ารหัสของ FreeNAS แต่หาไม่พบ อย่างไรก็ตามการถอนออกจากมันก็คือ FreeNAS ใช้เพียง FreeBSD ที่เทียบเท่ากับการรัน ZFS ที่ด้านบนของ LUKS @divB

— CVn

2

ใน Arch Linux ที่ใช้zfs-dkms-gitอยู่ในปัจจุบันจะให้การเข้ารหัส0.8.0_rc1โมดูลเคอร์เนลแก่คุณ nativeดูGithub 0.8.0 Milestoneสำหรับความคืบหน้า

เมื่อคุณสร้างอุปกรณ์เข้ารหัสที่ตัวเลือกเริ่มต้นaes-256-ccmใช้งาน หากคุณไม่ต้องการdeduplicationคุณจะได้รับประสิทธิภาพที่ดีขึ้นโดยใช้-o encryption=aes-256-gcm
ตรวจสอบnativeการสนับสนุนการเข้ารหัสด้วย:

grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

— Stuart Cardall
แหล่งที่มา

0

คอมมิชชันถูกผสานและตอนนี้เวอร์ชัน 0.7.1 สนับสนุนการเข้ารหัสเนทิฟแบบเต็มบน linux

— อูราล
แหล่งที่มา

ฉันเพิ่งลอง 0.7.6 และมันยังไม่รวมอยู่ในนั้น ความคิดเห็นที่ reddit แนะนำว่าจะไม่ถูกรวมเข้ากับสาขา 0.7.x และดังนั้นจะไม่ถูกนำออกใช้จนกว่าจะปล่อย 0.8.0

— Jules